Re : HS [Intrusion, reconstitution] était Re: Quel kernel ?
Le 26.12.2003 22:36, François Boisson a écrit : |[intrusion sur ma passerelle, suite] | |J'ai plusieurs questions à propos de l'intrusion dont j'ai été |victime ce |20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures |et |j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon |anticipé). |A noter que chkrootkit ne désignait aucun processus mis à part |bindshell, |J'ai fait une image des disques / et /usr (mais ai bêtement oublié le |swap |ce qui est dommage) juste après avoir fait un iptables bloquant un |port |d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur |les |deux disques et étudier un peu ce que le gars a fait. Ma première |question |est celle ci, l'un des scripts commence par | | |#!/bin/sh |cl=ESC[0m |cyn=ESC[36m |wht=ESC[37m |... |puis on voit des commandes du type |echo ${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP |adress.../dev/stderr | |à ma connaissance, c'est pour faire beau à l'écran (clignotement, |etc), |peut on détourner ces commandes? Il y a eu le CAN-2003-0063 qui signalait qu'on pouvait exploiter une commande esc : echo -e '\e]2;s echo rm -rf *\a' /tmp/sploit echo -e '\e[21t' /tmp/sploit cat /tmp/sploit Peut-être est-ce le même genre d'exploit ? -- - Jean-Luc | |Apparemment le gars s'est déchainé vers 19h: Il a récupéré les |fichiers |shadow, passwd, puis a cherché sur la machine successivement des mp3, |des |mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers |czz: |pour être exact: | |... |echo |echo ${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... |please |wait (t his can take several minutes) /dev/stderr |echo Searching for ccz... |echo |... | |Que sont ces ccz? D'après Google, ce serait des fichiers de créations |de |CD/DVDrom pour des outils Windows, sur une machine Linux, c'est |idiot! |Quelqu'un a-t-il une idée? | |D'après les traces j'ai vu, le gars a installé SuckIT qui patche |directement le noyau, et permet de cacher des processus, apparemment |il |modifie directement le noyau en mémoire via kmem... |Ces fameux processus cachés existent tout de même, je veux dire |qu'une |commande du type | |# cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline echo $i | |pid existant; done | |m'aurait surement fourni TOUS les pids des processus y compris les |cachés |je pense. Quelqu'un peut il me confirmer cela? | |Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer |l'environnement, la ligne de commande, etc et identifier plus |clairement |le vers. | |Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? |En |épluchant les logs, je vois plein de connections wu-ftpd sans |chargement |de fichiers correspondant mais venant d'adresses très différentes, le |gars |masquait son IP mais dans ce cas, pouvait il avoir les réponses en |retour |ou procédait-il à l'aveugle? | |Désolé de ce message HS et bonnes fêtes | |François Boisson | | |-- |Pensez à lire la FAQ de la liste avant de poser une question : |http://savannah.nongnu.org/download/debfr-faq/html/ | |Pensez à rajouter le mot ``spam'' dans vos champs From et |Reply-To: | |To UNSUBSCRIBE, email to [EMAIL PROTECTED] |with a subject of unsubscribe. Trouble? Contact |[EMAIL PROTECTED] | | pgpBwDiDuJ9pS.pgp Description: PGP signature
Re : erreur à la compilation
Passez un coup de memtest86 sur votre machine, cette erreur est souvent liée à une barrette mémoire défaillante. -- - Jean-Luc Le 26.12.2003 21:38, herve a écrit : |Bonjour à tous, | |J'essaye de recompiler un noyau 2.4.22, j'ai une erreur dont je |n'arrive pas à me sortir. | |sadir:/usr/src/kernel-source-2.4.22# make menuconfig |rm -f include/asm |( cd include ; ln -sf asm-i386 asm) |make -C scripts/lxdialog all |make[1]: Entering directory `/usr/src/kernel-source-2.4.22/scripts/ lxdialog' |collect2: ld terminé par le signal 11 [Segmentation fault] | | Unable to find the Ncurses libraries. | | You must have Ncurses installed in order | to use 'make menuconfig' | |make[1]: *** [ncurses] Erreur 1 |make[1]: Leaving directory `/usr/src/kernel-source-2.4.22/scripts/ lxdialog' |make: *** [menuconfig] Erreur 2 |sadir:/usr/src/kernel-source-2.4.22# | |whereis libncurses |libncurses: /usr/lib/libncurses.a /usr/lib/libncurses.so | |J'ai eu il y a quelques temps des erreurs disque, je suis en Sid avec |un noyau 2.4.22. |J'ai essayer en réinstallant les sources, en réinstallant libncurses5 |et libncurses5-dev |Rien de mieux | |Merci et bonnes fêtes à tous | |Hervé Fabre | | |-- |Pensez à lire la FAQ de la liste avant de poser une question : |http://savannah.nongnu.org/download/debfr-faq/html/ | |Pensez à rajouter le mot ``spam'' dans vos champs From et |Reply-To: | |To UNSUBSCRIBE, email to [EMAIL PROTECTED] |with a subject of unsubscribe. Trouble? Contact |[EMAIL PROTECTED] | | pgpz21865jaJS.pgp Description: PGP signature
Re: CUPS et KDESalut,
Salut, il te manque certainement le package cupsys-bsd, qui sert à faire le lien avec lpr. edouard. On Saturday 27 December 2003 23:02, Famille Bailiet Denis, Marie-Christine, 3A wrote: Bonjour, J'ai configuré une imprimante HP610c avec cups mais je ne la trouve pas disponible pour mes applis sous KDE. Des pistes merci Denis -- Vous devez pour nous répondre enlever no-spam. de notre adresse électronique.
pb de spam
bonjour tout le monde, voila, depuis que je suis inscrit sur cette ML, je recois régulierement des spams avec comme titre Microsoft Customer Assistance ou Network Email (y'en a d'autres.) J'ai décommenté dans mon exim.conf la ligne : rbl_domains = rbl.mail-abuse.org/reject : dialups.mail-abuse.org/warn mais ça n'a pas l'air de faire grand chose, j'en recois toujours. J'ai vu qu'il y avait spamassassin, quelqu'un pourrait il m'en parler ? est-ce vraiment efficace ? merci de votre aide.
Re : pb de spam
Bonjour, J'utilise spamassassin. Il est très efficace. Je l'appelle depuis procmail. Voici la partie de configuration de .procmailrc correspondante : :0fw | /usr/bin/spamc :0: * ^X-Spam-Status: Yes $MAILDIR/spam Le spam est mis en quarantaine dans la mbo 'spam', je jette un oeil (on ne sait jamais) et je jette. -- - Jean-Luc Le 27.12.2003 15:16, df a écrit : | |bonjour tout le monde, | |voila, depuis que je suis inscrit sur cette ML, je |recois régulierement des spams avec comme titre Microsoft Customer |Assistance ou Network Email (y'en a d'autres.) | |J'ai décommenté dans mon exim.conf la ligne : | |rbl_domains = rbl.mail-abuse.org/reject : dialups.mail-abuse.org/ warn | |mais ça n'a pas l'air de faire grand chose, j'en recois toujours. | |J'ai vu qu'il y avait spamassassin, quelqu'un pourrait il m'en parler |? |est-ce vraiment efficace ? | |merci de votre aide. | | |-- |Pensez à lire la FAQ de la liste avant de poser une question : |http://savannah.nongnu.org/download/debfr-faq/html/ | |Pensez à rajouter le mot ``spam'' dans vos champs From et |Reply-To: | |To UNSUBSCRIBE, email to [EMAIL PROTECTED] |with a subject of unsubscribe. Trouble? Contact |[EMAIL PROTECTED] | | pgpJPVod0EZQL.pgp Description: PGP signature
Re: pb de spam
df [EMAIL PROTECTED] a écrit : | voila, depuis que je suis inscrit sur cette ML, je | recois régulierement des spams avec comme titre Microsoft Customer | Assistance ou Network Email (y'en a d'autres.) C'est pour ça qu'en bas de tous les courriels envoyés à cette liste, tu trouves ce conseil : Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: Et la signature contient aussi : Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ ;-) -- Daniel Déchelotte http://yo.dan.free.fr/
Re: configurer graveur dvd/cd
Le Jeudi 25 Décembre 2003 16:42, daniel huhardeaux a écrit : dédé le homard wrote: salut, et joyeux noel.. ok merci et dans /etc/fstab quel est le systeme de fichier utilisé poiur monter le graveur dvd ? (iso9660,udf,auto ) ? merci et ciao chez moi /dev/cdrom (pointe sur /dev/scd1) est mon lecteur/graveur CD (pas DVD) fs=iso9660 De meme, /dev/scd0 est mon lecteur DVD Dans lilo.conf j'ai append=hdb=ide-scsi hdc=ide-scsi quelqu'un peut il m'aider, merci et bonnes fetes... De meme. -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
J'ai modifie le sujet car cela se rapproche d'une discussion de cette semaine concernant la securite (lien en bas de page) François Boisson wrote: [intrusion sur ma passerelle, suite] J'ai plusieurs questions à propos de l'intrusion dont j'ai été victime ce 20 décembre, le gars n'a pas sévi longtemps (il a commencé à 19heures et j'ai stoppé le bazar à 1h30 du matin (de retour d'un réveillon anticipé). A noter que chkrootkit ne désignait aucun processus mis à part bindshell, J'ai fait une image des disques / et /usr (mais ai bêtement oublié le swap ce qui est dommage) juste après avoir fait un iptables bloquant un port d'un ssh installé. J'ai pu après récupéré les fichiers détruits sur les deux disques et étudier un peu ce que le gars a fait. Ma première question est celle ci, l'un des scripts commence par #!/bin/sh cl=ESC[0m cyn=ESC[36m wht=ESC[37m ... puis on voit des commandes du type echo ${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Getting the IP adress.../dev/stderr à ma connaissance, c'est pour faire beau à l'écran (clignotement, etc), peut on détourner ces commandes? Je penserai la meme chose, mais à la lecture de ce que Jean-Luc a note ... Apparemment le gars s'est déchainé vers 19h: Il a récupéré les fichiers shadow, passwd, puis a cherché sur la machine successivement des mp3, des mpgs, des avis, des numéros de cartes bleues ainsi que des fichiers czz: pour être exact: ... echo echo ${cl}${cyn}|${cl}${hcyn}--- ${cl}${wht}Searching for ccz... please wait (t his can take several minutes) /dev/stderr echo Searching for ccz... echo ... Que sont ces ccz? D'après Google, ce serait des fichiers de créations de CD/DVDrom pour des outils Windows, sur une machine Linux, c'est idiot! Quelqu'un a-t-il une idée? Hmmh. Lorsque l'on regarde d'ou vient suckIT, c'est de tchéchoslovaquie (cz) Les gars ayant développés le produit signent cdi cz Extrait du README ++ SucKIT README File SucKIT v1.3b, (c) 2002 by sd sd cdi cz devik devik cdi cz +-+ Et de ce que j'ai lu, c'est pas *vraiment* fait pour des MP3 ou autres fichiers audio D'après les traces j'ai vu, le gars a installé SuckIT qui patche directement le noyau, et permet de cacher des processus, apparemment il modifie directement le noyau en mémoire via kmem... Ces fameux processus cachés existent tout de même, je veux dire qu'une commande du type # cd /proc; for i in `seq 1 65535`; do test -f $i/cmdline echo $i pid existant; done m'aurait surement fourni TOUS les pids des processus y compris les cachés je pense. Quelqu'un peut il me confirmer cela? Cela ressemble a (trouve dans un thread sur ce probleme sur linuxQuestions.org Check where sk is: cd /proc; for i in *; do test -f $i/cmdline (cat $i/cmdline; echo $i | grep -e sk); done This will return the PID for sk, change to that dir and grep environ -e pwd. This returns the rootkits dir (/usr/share/locale/ro_US ?). 4. Uninstall rootkit: cd to that dir, and execute ./sk -u to uninstall. Ce qui est idiot c'est que dans ce cas, j'aurai pu récupérer l'environnement, la ligne de commande, etc et identifier plus clairement le vers. Peut etre, mais il m'a l'air asser violent. Dans mes lectures, j'ai vu qu'un module nomme StMichael lui resistait. Tu peux peut etre aller voir de ce cote la. Quelqu'un sait-il comment retrouver l'adresse du gars dans ce bazar? En épluchant les logs, je vois plein de connections wu-ftpd sans chargement de fichiers correspondant mais venant d'adresses très différentes, le gars masquait son IP mais dans ce cas, pouvait il avoir les réponses en retour ou procédait-il à l'aveugle? Comme il semble que ce kit permette d'ouvrir des terminaux sur *n'importe quel* port, il va peut etre falloir faire des recoupements adresse/port. Maintenant, si c'est ta machine qui ouvre la connexion apres l'infection, peut etre tu trouveras plus rapidement, en imaginant que les connexions wu-ftpd soient des leurres. Désolé de ce message HS et bonnes fêtes Bonne fêtes a toi aussi François Boisson Tres interessant a lire (anglais) http://www.redhat.com/archives/enigma-list/2002-October/msg00442.html -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Re: pb de spam
bonjour tout le monde, salut, voila, depuis que je suis inscrit sur cette ML, je recois régulierement des spams avec comme titre Microsoft Customer Assistance ou Network Email (y'en a d'autres.) Et oui malheureusement des gens utilisent des systemes proprietaire :( J'ai vu qu'il y avait spamassassin, quelqu'un pourrait il m'en parler ? est-ce vraiment efficace ? C'est comme meme un peux gros de sortir Spamassasin pour des mails de ce type. Pres de 98% des ces messages ont un fichier .exe attache. Donc il suffit de filtrer les fichier exe au niveau de ton MTA (exim, postfix, qmail ...). Tu ne pas besoin de recevoir de fichiers exe windows? donc ... Il suffit de rejetter automatiquement les fichiers en fonction de leur extension. Voila comment je fait avec postfix : $grep body_check /etc/postfix/main.cf body_checks = regexp:/etc/postfix/body_checks $cat /etc/postfix/body_checks /^Content.*\.vbs/ REJECT /^begin \d\d\d .*\.(vbe|vbs)/ REJECT /^Content-(Disposition|Type):.*name=?.*\.(vbe|vbs)/ REJECT /\t(file)name=?.*\.(vbe|vbs)/ REJECT /^Content-(Disposition|Type):.*name=?.*\.exe/ REJECT /\t(file)name=?.*\.exe/ REJECT /^Content-Type: application\/x-msdownload/ REJECT Et c'est tout plus aucun probleme :) Meme pas besoin de recevoir l'email et de l'analyser :) Biensur pour le vraie spam tu deveras utiliser Spammassain. -- Meuuuhh elle fait la vache :)) _(__)_ Nowicki Christophe '-e e -'__,--.__) 17, rue Saint Exupery(o_o)) 77500 Chelles \. /___. | Etudiant EPITECH Promo 2006 ||| _)/_)/ http://etud.epita.fr/~nowick_c/nowick_c.asc //_(/_(/_(
Re: erreur à la compilation
Selon herve [EMAIL PROTECTED]: collect2: ld terminé par le signal 11 [Segmentation fault] Problème de mémoire défectueuse ? -- jm
init: Id 2 respawning too fast: disabled for 5 minutes
Bonjour, Je tourne sous sid et j'ai subi un probleme lors de mon dernier - apt-get upgrade Je crois avoir fait une erreur de manipulation (je n'étais pas bien réveillé) et remplacé mon fichier de configuration de KDM par celui du développeur quand on me l'a demandé. Depuis il n'y a plus moyen de faire fonctionner kdm même pas en le désinstallant (purge) avec dselect et en tentant de le réinstaller plus tard (le probleme se passe durant la configuration du paquet), j'ai donc installer temporairement gdm (qui est tres beau mais moins pratique à mon gout). Mais le vrai probleme c'est que depuis je n'ai plus qu'une console virtuelle (la première) et X se lance sur tty2. J'obtient les message d'erreur suivants dans syslog: init: Id 2 respawning too fast: disabled for 5 minutes init: Id 3 respawning too fast: disabled for 5 minutes init: Id 4 respawning too fast: disabled for 5 minutes init: Id 5 respawning too fast: disabled for 5 minutes init: Id 6 respawning too fast: disabled for 5 minutes ces messsages s'affichent évidement toute les 5 minutes. Voici un extrait de mon fichier inittab mais il m'a l'air convenable: 1:2345:respawn:/sbin/getty 38400 tty1 2:23:respawn:/sbin/getty 38400 tty2 3:23:respawn:/sbin/getty 38400 tty3 4:23:respawn:/sbin/getty 38400 tty4 5:23:respawn:/sbin/getty 38400 tty5 6:23:respawn:/sbin/getty 38400 tty6 Merci a qui poura m'éclairer et bonnes fêtes de fin d'année à tous.
Re: Fenetr d'appli trop longues
Selon Famille Bailiet Denis, Marie-Christine, 3A no- [EMAIL PROTECTED]: sur 2 machines différentes et kde et WindowMaker les fenêtre des appli que j'ouvre sont plus longue que mon écran je ne vois la base des fenêtres. Que dois je faire pour modifier cela. Il me semble que sous WMaker les combinaisons Ctrl (ou Alt) et flèches permettent de bouger la fenêtre. Mais sous Le W$ XP de mes parents c'est pas facile de faire un essai. Saleté ! -- jm
Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
Loick.B wrote: Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit : Check where sk is: cd /proc; for i in *; do test -f $i/cmdline (cat $i/cmdline; echo $i | grep -e sk); done This will return the PID for sk, Ok, si j'execute: # cd /proc;for i in *;do test -f $i/cmdline (cat $i/cmdline; echo $i | \ grep -e sk);done j'obtiens: /usr/sbin/sshd /sbin/syslogd /sbin/klogd -bash bash /usr/sbin/inetd /bin/sh/usr/bin/safe_mysqld /usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid stunnel-d995-r110 stunnel-d993-r143 stunnel-d3307-rlocalhost:3306 /usr/sbin/ntpd /usr/sbin/cron /usr/sbin/apache /usr/sbin/apache-ssl /sbin/getty38400tty2 /sbin/getty38400tty3 /sbin/getty38400tty4 /sbin/getty38400tty5 /sbin/getty38400tty6 /usr/sbin/pppdcalldsl-provider /usr/sbin/pppoe-Ieth0-T80-m1452 /sbin/getty38400tty1 stunnel-d3307-rlocalhost:3306 catself/cmdline change to that dir and grep environ -e pwd. Je prends la première ligne et je vais dans /usr/sbin. qu'est-ce que je fais maintenant? grep ??? -e pwd* grep -e environ pwd Si vous n'etes pas infecte (grep sk) ne retourne rien. Le plus simple est d'installer chkrootkit pour tester votre environnement. Si vous etes infecte, la premiere des choses est de vous deconnecter de tout reseau avec cette machine. La commande devrait me retourner le path vers le rootkit. Il suffit de le désinstaller ensuite avec ./sk -u. Ca me parrait un peu simpliste non? Voir en bas de message Merci de m'indiquer une méthodologie. Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!! Non, parcequ'il ne s'agit pas des pids de sk. Installez chkrootkit et testez votre machine Merci d'avance. Voici l'article en entier. Si vous avez lu le lien fourni avec le message d'origine, vous comprendriez qu'effectivement il ne s'agit pas *que* de désinstaller sk. Ceci est egalement rappele dans le message ci dessous. Les liens fournis en fin de message sont egalement tres interessant. http://www.linuxquestions.org/questions/history/35743 Salutations -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit : Check where sk is: cd /proc; for i in *; do test -f $i/cmdline (cat $i/cmdline; echo $i | grep -e sk); done This will return the PID for sk, Ok, si j'execute: # cd /proc;for i in *;do test -f $i/cmdline (cat $i/cmdline; echo $i | \ grep -e sk);done j'obtiens: /usr/sbin/sshd /sbin/syslogd /sbin/klogd -bash bash /usr/sbin/inetd /bin/sh/usr/bin/safe_mysqld /usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid stunnel-d995-r110 stunnel-d993-r143 stunnel-d3307-rlocalhost:3306 /usr/sbin/ntpd /usr/sbin/cron /usr/sbin/apache /usr/sbin/apache-ssl /sbin/getty38400tty2 /sbin/getty38400tty3 /sbin/getty38400tty4 /sbin/getty38400tty5 /sbin/getty38400tty6 /usr/sbin/pppdcalldsl-provider /usr/sbin/pppoe-Ieth0-T80-m1452 /sbin/getty38400tty1 stunnel-d3307-rlocalhost:3306 catself/cmdline change to that dir and grep environ -e pwd. Je prends la première ligne et je vais dans /usr/sbin. qu'est-ce que je fais maintenant? grep ??? -e pwd La commande devrait me retourner le path vers le rootkit. Il suffit de le désinstaller ensuite avec ./sk -u. Ca me parrait un peu simpliste non? Merci de m'indiquer une méthodologie. Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!! Merci d'avance. -- Loick.B
Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
On Sat, 27 Dec 2003 16:39:10 +0100 daniel huhardeaux [EMAIL PROTECTED] wrote: Cela ressemble a (trouve dans un thread sur ce probleme sur linuxQuestions.org Check where sk is: cd /proc; for i in *; do test -f $i/cmdline (cat $i/cmdline; echo $i | grep -e sk); done This will return the PID for sk, change to that dir and grep environ -e pwd. This returns the rootkits dir (/usr/share/locale/ro_US ?). 4. Uninstall rootkit: cd to that dir, and execute ./sk -u to uninstall. Sauf que in * le fait parcourir les processus visibles i.e sous /proc, d'après ce que j'ai compris, SuckIT cache les processus, les repertoire pid ne sont pas visibles sous /proc mais existent quand même d'où mon idée de forcer la lecture à tous les numéros et pas seulement à ceux qui sont sous /proc. Merci de tes idées, je vais lire ta doc. Je pense infecter une machine pour voir si ce que j'ai dit marche. Si c'est le cas, il est facile de faire un pgm cherchant systématiquement de tels processus cachés. Je te tiens au courant François Boisson
Re: pb de spam
pgpsgYyEHsmoW.pgp Description: PGP signature #secure method=pgpmime mode=sign * Quoting Daniel Déchelotte [EMAIL PROTECTED]: df [EMAIL PROTECTED] a écrit : voila, depuis que je suis inscrit sur cette ML, je recois régulierement des spams avec comme titre Microsoft Customer Assistance ou Network Email (y'en a d'autres.) C'est pour ça qu'en bas de tous les courriels envoyés à cette liste, tu trouves ce conseil : Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: Et la signature contient aussi : Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ Rhooo le bôôô 404 :) zeDek -- GNU is my religion .O. Xavier Maillard ..O Reims - France OOO +33 (0) 6 62 59 68 62 pgp7ncouWDVjj.pgp Description: PGP signature
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Le Samedi 27 Décembre 2003 18:41, daniel huhardeaux a écrit : grep -e environ pwd Si vous n'etes pas infecte (grep sk) ne retourne rien. Cela me rassure: un # cd /usr/sbin; grep -e environ 'pwd' me renvoie: grep: pwd: Aucun fichier ou répertoire de ce type. Le plus simple est d'installer chkrootkit pour tester votre environnement. J'e l'ai installé depuis deja plusieurs mois déjà. Mais la version de la woody est la 0.35-1et je ne pense pas qu'elle détecte sk... Merci. -- Loick.B
Re: pb de spam
Salut à tous, Ben voila que moi aussi je commence à recevoir des mail de micromachinchouette me proposant un joli exe qui va surement me rendre ma machine hyper performante et protégée de tous. Non je rigole. Maintenant plus sérieusement, je suis un petit nouveau sur cette liste (ben faut bien commencer un jour,non?) et je me demandais pourquoi on conseil de mettre spam dans form et reply-to? Merci de vos réponse à ma question élémentaire Bonne fête à tous Oli Xavier Maillard a écrit : #secure method=pgpmime mode=sign * Quoting Daniel Déchelotte [EMAIL PROTECTED]: df [EMAIL PROTECTED] a écrit : voila, depuis que je suis inscrit sur cette ML, je recois régulierement des spams avec comme titre Microsoft Customer Assistance ou Network Email (y'en a d'autres.) C'est pour ça qu'en bas de tous les courriels envoyés à cette liste, tu trouves ce conseil : Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: Et la signature contient aussi : Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ Rhooo le bôôô 404 :) zeDek
Module broadcom 4400
Bonjour, Je n'ai pas réussi à trouver le module bcm4400 compatible avec le noyau 2.4.18-bf2.4... Les 3 versions téléchargées, décompressées et testées me renvoient toujours le message Kernel-module mismatch /lib/.../bcm4400.o was compiled for kernel version 2.4.18 while this kernel is version 2.4.18-bf2.4 Merci d'avance Alain THABAUD --- CARTE BLANCHE Agence d'Organisation 8, rue Henri Regnault - La Chartreuse 81100 CASTRES - FRANCE Tél. : 33 - 5 63 72 31 00 - Fax : 33 - 5 63 72 30 32 http://www.carte-blanche.fr/
Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
Le Sat, Dec 27, 2003 at 06:31:19PM +0100, Loick.B écrivait: # cd /proc;for i in *;do test -f $i/cmdline (cat $i/cmdline; echo $i | \ grep -e sk);done j'obtiens: [snip une longue liste] Merci de m'indiquer une méthodologie. Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!! Non. Si je comprends bien le script, il affiche la ligne de commande de tous les processus qui en ont une (cat $i/cmdline). Et il ajoute à la fin le pid s'il contient sk (echo $i | grep -e sk). Ce qui n'est pas ton cas. @+ -- Thomas Labourdette Quelle est le point commun entre une femme au volant et une fraise ? - Les deux se ramassent dans les champs. (Desproges)
Re: erreur à la compilation
Cela vient bien de la mémoire d'après memtest86 j'ai une quinzaine de blocs qui sont defectueux Je vous remercie de votre aide Hervé Fabre
Re: Fenetr d'appli trop longues
[EMAIL PROTECTED] a écrit : Selon Famille Bailiet Denis, Marie-Christine, 3A no- [EMAIL PROTECTED]: sur 2 machines différentes et kde et WindowMaker les fenêtre des appli que j'ouvre sont plus longue que mon écran je ne vois la base des fenêtres. Que dois je faire pour modifier cela. Il me semble que sous WMaker les combinaisons Ctrl (ou Alt) et flèches permettent de bouger la fenêtre. Mais sous Le W$ XP de mes parents c'est pas facile de faire un essai. Saleté ! -- jm Merci, en fait il manquait la resosulution 1024x768 dans mon Xconfig. une fois fait les fenêtre tiennent dans l'écran. Pour ce qui est de changer de résolution c'est CTRL+ALT++ou- voila Denis -- Vous devez pour nous répondre enlever no-spam. de notre adresse électronique.
A l'aide, probleme iptables ou nfs?
Bonjour, j'ai deux machines en réseau: (disons machun et machdeux) machun: serveur nfs avec deux cartes reseau, eth0 reliée à machdeux, adresse ip : 192.168.5.1; la deuxieme carte réseau eth1 reliée à une freebox. machdeux, avec une carte eth0, adresse ip 192.168.5.2 reliée à machun. Je veux que machdeux puisse monter une partition nfs de machun, et naviguer sur internet. Hier, monter la partition nfs de machun sur machdeux fonctionnait. J'ai donc tenté de définir les règles iptables pour mettre un peu de sécu; depuis, machdeux peut se connecter sur internet, je peux pinger sur machun, mais je n'arrive plus à monter la partition nfs de machun sur machdeux; lorsque j'essaye, ça traîne, avec un message sur machdeux : mount: RPC: timed out et sur machun, dans syslog :mountd[219]: access from host 192.168.5.2 rejected Bien entendu, ce message apparait également au démarrage de machdeux quand elle cherche à monter cette partition nfs. Conclusion (non affirmative): j'ai dû légèrement me planter dans iptables! Par contre, ce que je ne comprends pas, c'est que même si je fais /etc/init.d/iptables stop sur machun, ça ne change rien ! A savoir, je suis sous debian woody. Ah si, je pense à une chose, j'ai fait une mise à jour de woody sur machdeux, mais par sur machun puisque je n'arrive pas à me connecter de cette machine, donc sur machun il y a debian woody 3.0 r0 (je crois) alors qu'il y a la derniere mise à jour de woody sur machdeux, peut-être est-ce la cause? mais dans ce cas, comment résoudre ce problème, vu que je n'arrive toujours pas à me connecter depuis machun? A signaler que ça devient urgent (surtout cette histoire de nfs). Je vous mets à la suite mes règles iptables, si quelqu'un peut m'expliquer ce qui merde, et en quoi, car ça montre que je n'ai pas tout saisi. Merci Michel Règles iptables : #!/bin/bash #Effacement tables echo 0 /proc/net/ipv4/ip_forward iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # #Fermeture totale iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT # #Ouverture localhost iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT # #Ouverture reseau local iptables -t filter -A OUTPUT -o eth0 -s 192.168.5.0/2 -d 192.168.5.0/2 -j ACCEPT iptables -t filter -A INPUT -i eth0 -s 192.168.5.0/2 -d 192.168.5.0/2 -j ACCEPT # #Masquage d'adresse iptables -t nat -A POSTROUTING -s 192.168.5.1 -o eth1 -j MASQUERADE #La ligne qui précède, je me demande si c'est pas une connerie, #vu que c'est la premiere machine ? iptables -t nat -A POSTROUTING -s 192.168.5.2 -o eth1 -j MASQUERADE # #C'est parti pour internet: iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT #Ligne précedente: La aussi je m'interroge... iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.5.1 -m state -- ESTABLISHED,RELATED -j ACCEPT #Même habituel questionnement pour la précédente iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.5.2 -m state -- ESTABLISHED,RELATED -j ACCEPT echo 1 /proc/sys/net/ipv4/ip_forward Voilà. J'explique ce qui me pose question, peut-être pourra-t'on m'expliquer en quoi mon résonnement est erroné (ou bon, ça m'arrive des fois) Je prends les 2 dernieres lignes qui m'intrigue (celle avec 192.168.5.1) Cette adresse ip est celle de la premiere machine sur la carte eth0; or, ce qui arrive par la freebox entre par eth1, mais n'a pas de raison de passer par eth0, donc par l'adresse ip 192.168.5.1 (?), donc cette ligne ne sert à rien, et dans ce cas, je n'ouvre pas d'autorisation pour ma premiere machine, non ? Mais si le probleme est là, comment faire pour ouvrir une autorisation de passage pour ma premiere machine, par son adresse ip internet? (c'est à dire celle d'eth1?) Mais le probleme, c'est que ça n'explique pas l'impossibilité pour la deuxieme machine de monter la partition nfs de la premiere machine. Merci de répondre à mes questionnements
Re: CUPS et KDESalut,
edouard cante a écrit : Salut, il te manque certainement le package cupsys-bsd, qui sert à faire le lien avec lpr. non j'ai verifié il est bien installé Bonjour, J'ai configuré une imprimante HP610c avec cups mais je ne la trouve pas disponible pour mes applis sous KDE. Des pistes merci Denis -- Vous devez pour nous répondre enlever no-spam. de notre adresse électronique. En faisant une recherche sur google j'ai trouvé une DOC qui me dit qu'une fois intallé CUPS doit se trouver dans la liste des gestionaires d'impression de KDE. Hors il n'y ai pas! avez vous d'autres pistes merci Denis -- Vous devez pour nous répondre enlever no-spam. de notre adresse électronique.
some advice about the dsl-300g+?
salut i've got the d-link dsl-300g+ modem, too and i'd like to distribute it with a fli4l router. how did you manage it to get a connection? i mean, the router does need an account on the modem, doesnt it? or is it able to forward the connection dialing to the router? i'd be very thankful for some advice. i saw, that u got this configuration by this thread: [Le Jeudi 16 Octobre 2003 22:06, mess-mate a écrit : Bonjour, je remercie tout ceux qui m'ont aidé à faire mon choix d'un modem adsl !! J'ai donc choisi le D-Link DSL 300G+ (ethernet, compatible linux)109 eur. Comme ça je peux l'attacher à mon routeur FLI4L.(adsl + firewall) Maintenant reste à choisir le FAI; point délicat. Selon les témoignages chez dslvalley, (presque) tous les FAI ont 3 étoiles sur 5. Ce qui logiquement porterait le choix sur le moins cher ? Mais quel différence y a-t-il entre un IP fixe ou non; a part qu'il est fixe biensur :) Merci de vos avis. Prend toi une freebox, (ip fixe, reverse dns, dégroupé, ...) Gonéri] i'm sorry, that i couldnt ask you in french, mine is not that good at technical expressions regards michel müller (suisse allemand) -- Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
On Sat, 27 Dec 2003 18:31:19 +0100 Loick.B [EMAIL PROTECTED] wrote: Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit : Check where sk is: cd /proc; for i in *; do test -f $i/cmdline (cat $i/cmdline; echo $i | grep -e sk); done This will return the PID for sk, Ok, si j'execute: # cd /proc;for i in *;do test -f $i/cmdline (cat $i/cmdline; echo $i | \ grep -e sk);done Non, l'idée est justement les i qui ne sont pas affichés (donc les processus cachés): en faisant for i in `seq 1 65535` do test -f $i/cmdline echo $i pid existant; done On trouve tous les processus existant y compris ceux cachés (à mon avis), d'après ce que j'ai compris dans le principe de caher les processus, on masque leur apparition dans /proc mais pour qu'ils tourner, l'entrée existe quand même. D'où l'idée de parcourir tous les entiers entre 1 et 65536. Il faut ensuite comparer la liste des pid obtenus et celle listée dans /proc pour avoir les processus cachés potentiels. Il 'y a un peu de travail quand même. Si j'ai le temps je vais automatiser cela. François Boisson
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
On Sat, 27 Dec 2003 18:58:53 +0100 Loick.B [EMAIL PROTECTED] wrote: Le Samedi 27 Décembre 2003 18:41, daniel huhardeaux a écrit : grep -e environ pwd Si vous n'etes pas infecte (grep sk) ne retourne rien. Cela me rassure: un # cd /usr/sbin; grep -e environ 'pwd' me renvoie: grep: pwd: Aucun fichier ou répertoire de ce type. Le plus simple est d'installer chkrootkit pour tester votre environnement. J'e l'ai installé depuis deja plusieurs mois déjà. Mais la version de la woody est la 0.35-1et je ne pense pas qu'elle détecte sk... Attention, le chkrootkit0.42b pris sur le site n'a rien détecté chez moi alors même que la machine avait un SuckIT d'installé... :-( François Boisson PS: Effectivement, Suckit se déinstalle par ./nom de suckit -u
RE: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
-Message d'origine- De : François Boisson [mailto:[EMAIL PROTECTED] Envoyé : samedi 27 décembre 2003 23:27 À : [EMAIL PROTECTED] Cc : debian-user-french@lists.debian.org Objet : Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ? On Sat, 27 Dec 2003 18:58:53 +0100 Loick.B [EMAIL PROTECTED] wrote: Le Samedi 27 Décembre 2003 18:41, daniel huhardeaux a écrit : grep -e environ pwd Si vous n'etes pas infecte (grep sk) ne retourne rien. Cela me rassure: un # cd /usr/sbin; grep -e environ 'pwd' me renvoie: grep: pwd: Aucun fichier ou répertoire de ce type. Le plus simple est d'installer chkrootkit pour tester votre environnement. J'e l'ai installé depuis deja plusieurs mois déjà. Mais la version de la woody est la 0.35-1et je ne pense pas qu'elle détecte sk... Attention, le chkrootkit0.42b pris sur le site n'a rien détecté chez moi alors même que la machine avait un SuckIT d'installé... :-( François Boisson PS: Effectivement, Suckit se déinstalle par ./nom de suckit -u -- Bonsoir la liste, JE vous vois parler de chrootkit depuis plusieurs jours... Mais ca fonctionne comment ??? Je l'ai installé mais y'a pas de man :( Pourquoi je m'interresse a ca ? Simple j'ai un enorme probleme avec ma debian :( La machine se bloque completement plus de clavier plus d'affichage a l'ecran rien :( Je n'ai pas de serveur graphique juste en console. De plus j'ai beau lire les logs il n'y a rien nul part :(
Re: A l'aide, probleme iptables ou nfs?
Ainsi parla [EMAIL PROTECTED] le 361ème jour de l'an 2003: Par contre, ce que je ne comprends pas, c'est que même si je fais /etc/init.d/iptables stop sur machun, ça ne change rien ! Normal: ça bloque tout les accès. c'est /etc/init.d/iptables clear pour tout ouvrir, et dans ce cas le forwarding est désactivé. A savoir, je suis sous debian woody. Ah si, je pense à une chose, j'ai fait une mise à jour de woody sur machdeux, mais par sur machun puisque je n'arrive pas à me connecter de cette machine, donc sur machun il y a debian woody 3.0 r0 (je crois) alors qu'il y a la derniere mise à jour de woody sur machdeux, peut-être est-ce la cause? mais dans ce cas, comment résoudre ce problème, vu que je n'arrive toujours pas à me connecter depuis machun? A signaler que ça devient urgent (surtout cette histoire de nfs). Je vous mets à la suite mes règles iptables, si quelqu'un peut m'expliquer ce qui merde, et en quoi, car ça montre que je n'ai pas tout saisi. Merci Michel Règles iptables : #!/bin/bash #Effacement tables echo 0 /proc/net/ipv4/ip_forward iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # #Fermeture totale iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT # #Ouverture localhost iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT # #Ouverture reseau local iptables -t filter -A OUTPUT -o eth0 -s 192.168.5.0/2 -d 192.168.5.0/2 -j ACCEPT iptables -t filter -A INPUT -i eth0 -s 192.168.5.0/2 -d 192.168.5.0/2 -j ACCEPT Heu, tu voulais pas mettre 192.168.5.0/24 par hasard ? Ça n'a probablement rien à voir avec ton pb, mais le réseau définit est un poil large, là (et pas trop classe C) ... #Masquage d'adresse iptables -t nat -A POSTROUTING -s 192.168.5.1 -o eth1 -j MASQUERADE #La ligne qui précède, je me demande si c'est pas une connerie, #vu que c'est la premiere machine ? exact, t'en a pas besoin, vu que dans ton cas machun va acter comme une passerelle. iptables -t nat -A POSTROUTING -s 192.168.5.2 -o eth1 -j MASQUERADE # #C'est parti pour internet: iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT #Ligne précedente: La aussi je m'interroge... iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.5.1 -m state -- ESTABLISHED,RELATED -j ACCEPT #Même habituel questionnement pour la précédente Même réponse.. iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d 192.168.5.2 -m state -- ESTABLISHED,RELATED -j ACCEPT Question pour la liste: 0.0.0.0/0 représente toutes les adresses ? dans ce cas, est-ce nécessaire de le préciser ? echo 1 /proc/sys/net/ipv4/ip_forward Voilà. J'explique ce qui me pose question, peut-être pourra-t'on m'expliquer en quoi mon résonnement est erroné (ou bon, ça m'arrive des fois) Je prends les 2 dernieres lignes qui m'intrigue (celle avec 192.168.5.1) Cette adresse ip est celle de la premiere machine sur la carte eth0; or, ce qui arrive par la freebox entre par eth1, mais n'a pas de raison de passer par eth0, donc par l'adresse ip 192.168.5.1 (?), donc cette ligne ne sert à rien, et dans ce cas, je n'ouvre pas d'autorisation pour ma premiere machine, non ? ? (bon, je sais, il est tard ;) ) Mais si le probleme est là, comment faire pour ouvrir une autorisation de passage pour ma premiere machine, par son adresse ip internet? (c'est à dire celle d'eth1?) A priori c'est bon (en particulier si tu peux la pinguer, t'après ta config). Mais le probleme, c'est que ça n'explique pas l'impossibilité pour la deuxieme machine de monter la partition nfs de la premiere machine. Je pencherais plutôt pour un pb de config NFS. Peut pas t'aider, j'ai opté pour samba (ça marche plutôt bien). -- .,p***=b_ Nicolas Rueff ?P .__ `*b Montbéliard - France |P .d?'`, 9| http://rueff.tuxfamily.org M: |} |- H' [EMAIL PROTECTED] | `#?_._oH' +33 6 77 64 44 80 `H. ``' GPG 0xDD44DAB4 `#?. ICQ 97700474 `^~. We are Penguin. Resistance is futile. You will be assimilated. pgp1R1eOhaUGZ.pgp Description: PGP signature
Re: devfs Obsolete
On Fri, Dec 26, 2003 at 05:13:33PM +0100, [EMAIL PROTECTED] wrote: Comment fait-on pour savoir si on est en devfs ou non? Je n'ai jamais utilisé devfs, mais il me semble que c'est un système de fichier monté sur /dev. Donc, en la sortie de 'mount' devrait donner un ligne du genre: devfs on /dev type devfs (rw) /Y
Re: A l'aide, probleme iptables ou nfs?
Hier, monter la partition nfs de machun sur machdeux fonctionnait. J'ai donc tenté de définir les règles iptables pour mettre un peu de sécu; depuis, machdeux peut se connecter sur internet, je peux pinger sur machun, mais je n'arrive plus à monter la partition nfs de machun sur machdeux; lorsque j'essaye, ça traîne, avec un message sur machdeux : mount: RPC: timed out et sur machun, dans syslog :mountd[219]: access from host 192.168.5.2 rejected J'ai eu des problèmes de ce genre avec les montage NFS. Quand tu montes ton répertoire essaye l'option -o nolock. exemple : mount -t nfs -o nolock machun:/parition_a_monter /partition_destination Voilà, en espérant que ca puisse aider à quelque chose :) Nico
Re: A l'aide, probleme iptables ou nfs?
Re bonjour, J'ai réussis une fois à me connecter sur internet depuis machun en relançant dhclient, il y a eu un message d'erreur, mais ensuite je pouvais me connecter; j'en ais profité pour remettre à jour debian. Depuis, de nouveau impossible de me reconnecter, je n'y comprends strictement plus rien !!! : Quand à nfs, j'ai réussis à refaire marcher le truc en supprimant dans host.deny : ALL:ALL et en mettant à la place : portmap: ALL statd: ALL mountd:ALL lockd:ALL rquotad:ALL alors que dans host.allow j'ai : portmap: 192.168.5.2 #je rappelle, c'est l'adresse de machdeux statd:192.168.5.2 mountd:192.168.5.2 lockd:162.168.5.2 rquotad:192.168.5.2 Et du coup, je ne comprends rien non plus: Pourquoi cela ne marchait-il pas avant? Host.deny n'est pas le comportement par défaut? et quels sont les processsus qui se servent de ces deux fichiers? Bref, plus ça va, moins je comprends; d'autant plus que j'ai un utilisateur bibi qui est celui qui devrait pouvoir se connecter sur machun et machdeux et retrouver son répertoire monter en nfs sur machdeux, et impossible de se connecter sous X sur une machine ou sur l'autre, la permission lui est refusée. Merci de vos conseils Michel
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
On Sun, 28 Dec 2003 00:19:16 +0100 alde [EMAIL PROTECTED] wrote: JE vous vois parler de chrootkit depuis plusieurs jours... Mais ca fonctionne comment ??? Je l'ai installé mais y'a pas de man :( Simple: chkrootkit return François Boisson